對象
- Microsoft 365 與 Access Control 已設定同盟登入的客戶
目的
- 解除 Access Control 與 Microsoft 365 的同盟登入,讓 Access Control 不再介入 Microsoft 365 的登入。
- 如果 Access Control 與 Microsoft 365 之間進行使用者同步,則刪除設定以停止同步。
注意事項
- 本文內容基於 2025 年 10 月的產品規格編寫,日後可能會有變更,恕不另行通知。
- 執行本步驟後,解除同盟登入可能需要一些時間。
※ 解除同盟登入的預估時間為 30 分鐘至 1 小時左右。 - 解除同盟登入後,請執行 Microsoft 365 的密碼重設。
※ 如果使用 Microsoft 的同步工具在 Active Directory 和 Microsoft 365 之間同步密碼,則不需要此步驟。 - 解除同盟登入後,請從 Microsoft 365 的登入頁面登入。
- 請從各使用者的設備中卸載 Secure Browser 應用程式及設備證書。
※ 即使保留在設備中也不會有影響,但無法繼續使用。 - 進行定期同步或解除同盟登入需要 Microsoft 365 全域管理員及 Access Control 的全域管理員權限。
目次
手順
解除同盟登入
-
從 Access Control 管理介面進入[系統]-[設定連線的服務]。
-
從服務概要中選擇「顯示名稱」為[Microsoft]、「類型」為[Microsoft]的行。
※ 如果項目不存在,請進入解除同盟登入(Powershell)。 -
選擇[已設定同盟登入的網域]-[網域管理]。
- 如果顯示 Microsoft 365 的 [要求的存取權限] 畫面,請勾選 [代表組織同意] 並選擇 [承諾]。
※ 如果已完成驗證,選擇使用者即可進入下一個畫面。 - 在「網域管理」畫面中,確認要解除同盟登入的網域狀態,並執行相應的步驟。
- [已設定](舊步驟):請執行步驟6. 之後的步驟。
- [已設定]:請執行步驟8.之後的步驟。
-
點擊適用網域的[升級]。
-
在確認畫面中確認內容,然後點擊[升級網域]。
確認狀態變為[已設定]。 -
點擊適用網域的[刪除]。
-
在確認畫面中確認內容,然後點擊[刪除網域]。
確認狀態變為[未設定]。 - 如果有多個網域需要解除同盟登入,請重複此步驟。
- 完成全部網域的解除同盟登入後,請進入刪除同步服務。
解除同盟登入(Powershell)
※如果已經與其他 Idp 服務執行同盟登入,請勿執行本步驟。
- 確認 Microsoft Graph PowerShell SDK 模組已安裝在 PowerShell 中,請確認以下步驟已完成。
Microsoft Graph PowerShell SDK 的安裝 -
啟動 PowerShell,執行以下命令。
Connect-MgGraph -Scopes "Domain.ReadWrite.All","Directory.AccessAsUser.All" -ErrorAction Stop
- 顯示登入對話框,使用擁有 Microsoft 365 全域管理員權限的帳戶登入。
-
執行以下命令以確認網域資訊。
確認使用中的網域「AuthenticationType」為「Federated」。Get-MgDomain
-
執行以下命令以解除同盟登入。
※ 解除後立即在 Microsoft 365 內部設定反映可能需要時間,因此可能會出現單一登入的情況。Update-MgDomain -DomainId [您的網域] -AuthenticationType "Managed"
-
執行以下命令以確認網域資訊。
確認步驟 5. 解除的網域「AuthenticationType」為「Managed」。Get-MgDomain
-
執行以下命令以從 Microsoft Graph 中斷連接。
Disconnect-MgGraph
- 刪除同步服務。
刪除同步服務
Access Control 與 Microsoft 365 間進行定期同步的情況
1. 停止 Access Control 與 Microsoft 365 之間的定期同步。
詳情請參考以下文章。
[Access Control] 停止與 Microsoft Entra ID 的定期同步
Active Directory 與 Access Control 間進行同步的情況
請在安裝了 HDE One 同步服務的 Windows 伺服器上執行以下步驟。
1. 卸載 HDE One Directory Sync
從 [控制面板] > [程式和功能] 概要中,卸載以下程式
HDE One Directory Sync x.x.x
2. 刪除 HDE One Directory Sync 相關檔案
手動刪除「C:\Program Files\HDE One Directory Sync」資料夾及其下的所有檔案。
3. 刪除 HDEOne 資料夾下的檔案
如果存在「C:\HDEOne」資料夾,請手動刪除該資料夾及其下的所有檔案。
Microsoft 365 密碼重設
以下是 Microsoft 365 的批量密碼重設方法。
※ 如果在 Active Directory 和 Microsoft 365 之間同步密碼,則不需要此操作。
※ 每個命令必須在一行中執行。
要執行此步驟,必須在 PowerShell 中安裝 Microsoft Graph PowerShell SDK 模組。
請確認以下內容已完成。
Microsoft Graph PowerShell SDK 的安裝
1. 在 C 磁碟機下建立「temp」資料夾
在工作用 PC 上,在 C 磁碟機下建立「temp」資料夾。
2. 使用 Microsoft Graph Powershell 登入
在 PowerShell 中執行以下命令。
Connect-MgGraph -Scopes "Domain.ReadWrite.All","Directory.AccessAsUser.All" -ErrorAction Stop※ 會顯示登入對話框,請使用擁有 Microsoft 365 全域管理員權限的帳戶繼續登入。
3. 取得使用者列表
執行以下命令,輸出使用者一覽。
※ 輸出 User Principal Name 不是「*.onmicrosoft.com」的使用者。
Get-MgUser -All | where { -not ($_.userprincipalname-like"*.onmicrosoft.com")} | select UserPrincipalName | Export-Csv c:\temp\volunteers.csv -NoTypeInformation4. 從使用者列表的 CSV 手動刪除會議室等的帳戶資訊
從「c:\temp」資料夾內的 CSV 檔案中記載的用戶列表 (volunteers.csv) 中,手動刪除不需要更改密碼的會議室等的帳戶資訊。
5. 密碼批次更改
逐行執行以下命令,批次更改密碼。
$params = @{
PasswordProfile = @{
ForceChangePasswordNextSignIn = $True
Password = "XXXXXXXX"
}
}
Import-Csv c:\temp\volunteers.csv | where{Get-MgUser -UserID $_.UserPrincipalName; Update-MgUser -UserID $_.UserPrincipalName -BodyParameter $params } ※ 各用戶在 Microsoft 365 登入後,需要更改密碼。
※ 所有用戶將使用相同的密碼。
請將上述命令中的 "XXXXXXXX" 更改為初始登入密碼字串。
▼ 密碼的設定要求
Microsoft Entra ID 中的密碼原則和帳戶限制
※ 根據 Outlook 等各種客戶端應用程式的不同,可能由於 Microsoft 365 的驗證快取保持規範,驗證對話框不會立即顯示。
6. 中斷 Microsoft Graph 連接
執行以下命令,從 Microsoft Graph 斷開連接。
Disconnect-MgGraph※ [Connect-MgGraph] 命令在下次啟動時不會要求登入,會保留上次驗證過的憑證。
因此,為了確保登出,需要執行 [Disconnect-MgGraph]。
刪除企業應用程式
訪問 Microsoft 365 管理中心。
從左側選單中點擊[ID],訪問 Microsoft Entra 管理中心。
打開 [Entra ID] - [企業應用]。
從右側顯示的應用程式列表中點擊「HENNGE Access Control Federation Configuration」。
從左側選單中點擊 [管理] - [屬性]。
在屬性畫面上方選擇 [刪除],然後點擊 [是]。
解除其他 SSO 服務
如果有與 Access Control 和單一登入 (SSO) 連接的服務 (非 Microsoft 365),請進行 SSO 的解除作業。
請確認 Access Control 管理介面中的「設定連線的服務」。
此外,SSO 的解除作業需要在連線的服務 (SP) 進行。詳細的解除方法,請向各 SP 的支援窗口確認。
設定已完成。
麻煩您在作業完成後,請聯絡 HENNGE One 技術支援。